Penetration test: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Aggiungi 1 libro per la Wikipedia:Verificabilità (20240310)) #IABot (v2.0.9.5) (GreenC bot |
Funzionalità collegamenti suggeriti: 3 collegamenti inseriti. |
||
| (5 versioni intermedie di 3 utenti non mostrate) | |||
Riga 1:
In [[informatica]], il '''''penetration test''''',
Condotto su più fasi dal punto di vista di un potenziale attaccante simulando l'[[attacco informatico]] di un utente malintenzionato, esso consiste nello sfruttamento delle vulnerabilità rilevate, allo scopo di aiutare a determinare se le difese del sistema sono sufficienti, o se invece sono presenti vulnerabilità, elencando in questo caso quali difese il test ha sconfitto. Il test ha dunque come obiettivo quello di evidenziare le debolezze della [[piattaforma (informatica)|piattaforma]] fornendo il maggior numero di informazioni sulle [[vulnerabilità informatica|vulnerabilità]] che hanno permesso l'accesso non autorizzato<ref>{{Cita libro|titolo=The CISSP® and CAPCM Prep Guide: Platinum Edition|anno=2007|url=https://archive.org/details/cisspcapprepguid0000krut|editore=John Wiley & Sons|isbn=978-0-470-00792-1|citazione=A penetration test can determine how a system reacts to an attack, whether or not a system's defenses can be breached, and what information can be acquired from the system|lingua=en}}</ref><ref>{{Cita libro|isbn=978-1-84928-371-7|autore=Kevin M. Henry|titolo=Penetration Testing: Protecting Networks and Systems|citazione=Penetration testing is the simulation of an attack on a system, network, piece of equipment or other facility, with the objective of proving how vulnerable that system or "target" would be to a real attack.|editore=IT Governance Ltd|lingua=en}}</ref>, fornendo una stima chiara sulle capacità di difesa e del livello di penetrazione raggiunto nei confronti:
Riga 34:
Negli anni successivi, la computer penetration come strumento per la valutazione della sicurezza è diventata più raffinata e sofisticata. Nei primi anni 1980, il giornalista [[William Broad]] riassunse brevemente i continui sforzi dei tiger teams per valutare la sicurezza del sistema. Come riportato da Broad, il rapporto di Ware finanziato dal DoD aveva “...mostrato come le spie potessero introdursi nei computer, rubare o copiare i file e sovvertire i dispositivi che normalmente proteggono le informazioni top secret”.<ref>Broad, William J. (September 25, 1983). "Computer Security Worries Military Experts", ''New York Times''</ref>
Mentre questi studi suggerivano che la sicurezza informatica negli Stati Uniti era un problema importante, lo studioso Edward Hunt ha di recente fatto una riflessione più ampia sullo studio della computer-penetration come strumento di sicurezza. Hunt, in un recente documento sulla storia del penetration test, suggerisce che le istituzioni per la difesa degli Stati Uniti “... hanno creato molti degli strumenti utilizzati nella moderna [[guerra
== Procedimenti di analisi ==
Riga 41:
I processi di penetration test possono essere effettuati in diverse modalità. La differenza consiste sulla quantità e qualità delle informazioni disponibili agli analisti riguardo ai sistemi analizzati. I test ''Black Box'' non presuppongono precedente conoscenza dell'infrastruttura oggetto di analisi e gli esaminatori necessitano di determinare architettura e servizi dei sistemi prima di iniziare l'analisi.
Nei test ''[[White Box]]'' sono invece fornite conoscenze dettagliate dell'infrastruttura da esaminare, spesso comprensive di schemi di rete, [[codice sorgente]] delle applicazioni e liste di indirizzi IP presenti nella rete. Esistono anche varianti a queste metodologie definibili ''[[Grey Box]]''.<ref name="SANS Institute">{{Cita web|url=http://www.sans.org/reading-room/whitepapers/bestprac/writing-penetration-testing-report-33343|titolo=Writing a Penetration Testing Report|accesso=10 dicembre 2016|data=6 aprile 2010|editore=[[SANS]]|formato=pdf|lingua=en}}</ref> I risultati dei penetration test possono valutare gli impatti di un attacco e suggerire contromisure per ridurre i rischi.<ref name="SANS Institute"/>
I processi di analisi che vengono condotti in un penetration test hanno diversi tempi di azione in cui sono alternate fasi manuali e fasi automatiche. Vengono acquisite inizialmente le informazioni principali sull'[[Architettura (computer)|architettura]] della piattaforma e sui servizi offerti. Dall'analisi di questi dati deriva la scelta di come condurre il passo successivo, consistente in un'enumerazione dei principali errori e problemi. Software automatizzati uniti all'esperienza manuale dell'analista permettono quindi di evidenziare tutte le possibili vulnerabilità, incluse quelle più recenti e alcune ancora non di pubblico dominio. I problemi riscontrati sono quindi manualmente verificati e sono prese le evidenze, o prove, che certificano l'esistenza delle problematiche stesse.
Riga 48:
È importante capire che la probabilità che un pen-tester riesca a trovare tutti i problemi di sicurezza è molto bassa. Ad esempio: ieri è stato fatto un penetration test che ha messo in evidenza l'assenza di vulnerabilità nel sistema; oggi Microsoft rilascia una patch atta a correggere alcuni errori di sistema contenente una nuova vulnerabilità di alcuni server di posta che in precedenza erano considerati sicuri; questo significa che il pen-test di ieri non è più valido visto che naturalmente non può mettere in luce la nuova vulnerabilità. Lo stesso esempio può essere applicato a ogni modifica attuata sul sistema. Mantenere una rete sicura richiede quindi una vigilanza costante.
== Tipologie di Penetration Test ==
=== Penetration Test Infrastrutturale ===
Noto anche come ''Network Penetration Test'' è un tipo di attività che si sofferma principalmente sulle componenti di rete. Il test mira ad analizzare Porte (TCP/UDP) e servizi potenzialmente vulnerabili per effettuare attacchi.
=== Web Application Penetration Test ===
Il Penetration Test di [[Applicazione web|applicazioni web]] (spesso abbreviato in ''WAPT'') tende a valutare specificatamente vulnerabilità della logica applicativa di applicazioni web, limitando il perimetro di test alle stesse. Il test di applicazioni web spesse utilizza come riferimento la OWASP Top 10<ref>{{Cita web|url=https://owasp.org/www-project-top-ten/|titolo=OWASP Top 10}}</ref> rilasciata dalla stessa [[Open Web Application Security Project|OWASP]]. Per effettuare i test vengono spesso utilizzati strumenti quali: Burpsuite, Acunetix, Zap etc.
== Strumenti ==
Line 54 ⟶ 62:
=== Distribuzioni di sistemi operativi specializzati ===
[[File:Kali Linux.png|thumb|[[Screenshot]] standard di Kali Linux]]
Diverse distribuzioni di sistemi operativi sono orientate verso il penetration test.<ref>{{Cita libro|cognome=Faircloth |nome=Jeremy |titolo=Penetration Tester's Open Source Toolkit, Third Edition |url=https://archive.org/details/penetrationteste0000fair |edizione=Third |anno=2011 |editore=
Alcuni dei più famosi [[Sistema operativo|sistemi operativi]] orientati al ''pen test'' sono:
Line 99 ⟶ 107:
== Standard e certificazioni professionali ==
Nell'ambito del penetration test è possibile acquisire certificazioni rilasciate da enti preposti a garantire le dovute caratteristiche tecniche e di affidabilità degli operatori, nonché quello di fornire una metodologia che renda il test di per sé replicabile, valutabile e misurabile nel tempo:
*
* OffSec - [https://www.offsec.com/courses/pen-300/ OffSec Experienced Penetration Tester (OSEP)]
* [https://www.elearnsecurity.it/course/penetration_testing/ eCPPT] - eLearnSecurity Certified Professional Penetration Tester " Professional v3 in Italiano - Patrocinata da AIPSI, Associazione Italiana Professionisti della Sicurezza Informatica(AIPSI)
* ISECOM - [[OPST|OSSTMM Professional Security Tester]] ([[OPST]])
* International Council of E-Commerce Consultants - [[Certified Ethical Hacker]] (CEH)
▲* Offensive Security (offensive-security.com)- [[Offensive Security Certified Professional]] ([[Offensive Security Certified Professional|OSCP]])
La IACRB (Information Assurance Certification Review Board) fornisce una certificazione per penetration tester nota come Certified Penetration Tester (CPT). Il CPT richiede che il candidato superi un esame a scelta multipla tradizionale e un esame pratico che richiede al candidato di eseguire un pen test su di un server.<ref name="iacertification.org">{{Cita web|url=http://www.iacertification.org/cpt_certified_penetration_tester.html|titolo=Certified Penetration Tester (CPT)|editore=IACRB|lingua=en|accesso=10 dicembre 2016}}</ref>
== Discordanze rispetto al Red Teaming ==
Sebbene Penetration Testing e Red Teaming<ref>{{Cita web|url=https://www.mitnicksecurity.com/blog/red-team-testing-vs.-penetration-testing|titolo=Penetration Testing vs Red Teaming}}</ref> appartengano entrambi alla branca della ''Offensive Security'', vengono spesso usati come sinonimi. Tuttavia ci sono delle profonde differenze sia per modalità di attività, sia per obiettivi prefissati.
Il Penetration Testing ha un perimetro di intervento ben definito, sia in termini di ''scope,'' che può essere una rete (''Network PT''), un sito web (''Web Application PT''), che di finestra temporale (solitamente nell'ordine delle settimane) e il suo scopo è valutare quante più vulnerabilità possibili per permettere di applicare le relative mitigazioni. Spesso per permettere un approccio full coverage, i sistemi difensivi vengono temporaneamente disattivati per permettere all'attaccante di avere una piena visibilità e contezza rispetto alle vulnerabilità presenti.<ref>{{Cita web|url=https://evalian.co.uk/penetration-testing-vs-red-team-testing/|titolo=Penetration Testing vs Red Team Testing}}</ref>
Contestualmente il Red Teaming è un'attività svolta in una finestra temporale molto estesa (solitamente nell'ordine dei mesi) dove non è presente un vero e proprio perimetro di intervento. L'obiettivo è di penetrare all'interno dell'azienda per verificare l'efficacia dei sistemi di sicurezza, ma soprattutto i tempi di risposta del personale posto alla difesa dell'infrastruttura (blue team<ref>{{Cita web|url=https://csrc.nist.gov/glossary/term/blue_team|titolo=Blue Team}}</ref>).
== Note ==
| |||